上線和安裝

備註

自 2022 年 12 月 31 日起，Microsoft安全性程式代碼分析（MSCA）延伸模組已淘汰。 MSCA 被 Microsoft Security DevOps Azure DevOps 擴充功能取代。請遵循設定中的指示來安裝和設定擴充功能。

開始使用 Microsoft 安全程式碼分析的必要條件：

將Microsoft安全性程序代碼分析延伸模塊上線

如果您有下列其中一個支援供應專案，請連絡技術帳戶管理員以購買或交換現有的時數，以取得擴充功能的存取權：

如果您沒有上述其中一項支援合約，您可以從我們的其中一個合作夥伴購買延伸模組。

後續步驟：

如果您符合上述資格，請連絡下列清單中的合作夥伴，以購買Microsoft安全性程序代碼分析延伸模組。否則，請連絡 Microsoft安全性程式代碼分析支援。

合作夥伴：

Microsoft安全性程式代碼分析小組希望透過合作夥伴頂級支援合約啟用合作夥伴。合作夥伴將透過銷售擴充功能給那些想要購買但沒有與 Microsoft 簽訂企業支援合約的客戶，來協助 Azure DevOps 客戶更安全地進行開發。有興趣的合作夥伴可以在這裡註冊。

與 Azure DevOps 組織共用延伸模塊之後，請移至您的 Azure DevOps 組織頁面。這類頁面的範例 URL 為 https://dev.azure.com/contoso。
選取您名稱旁右上角的購物袋圖示，然後選取 [管理延伸模組]。
選取 [共享]。
選取 Microsoft 安全性程式碼分析擴充功能，然後選取安裝。
從下拉式清單中，選擇要安裝擴充功能的 Azure DevOps 組織。
選取安裝。安裝完成之後，您就可以開始使用擴充功能。

備註

即使您沒有安裝延伸模組的存取權，請繼續進行安裝步驟。您可以在安裝程式期間向 Azure DevOps 組織管理員要求存取權。

安裝擴充功能之後，即可看見安全開發建置工作，並可供新增至您的 Azure Pipelines。

從您的 Azure DevOps 組織，開啟您的小組專案。
選取管道>建置。
請選擇要新增擴充功能建置任務的管線：
- 新增管線：選取 [ 新增 ]，並遵循建立新管線的詳細步驟。
- 編輯管線：選取現有的管線，然後選取 [ 編輯 ] 開始編輯管線。
選取 + 並移至 [ 新增工作 ] 窗格。
從清單或使用搜尋方塊，尋找您要新增的建置工作。選取 ，然後新增。
指定工作所需的參數。
將新組建排入佇列。

備註

檔案和資料夾路徑相對於來源存放庫的根目錄。如果您將輸出檔案和資料夾指定為參數，這些將被重定向到我們在建置代理上定義的共同位置。

小提示

若要在建置後執行分析，請將 Microsoft Security Code Analysis 建置任務放在發佈建置成果物步驟之後。如此一來，您的組建就可以在執行靜態分析工具之前完成並張貼結果。
針對安全開發建置工作，請一律選取 [錯誤時繼續 ]。即使有一個工具失敗，其他工具也可以執行。工具之間沒有相互依賴性。
Microsoft只有在工具無法順利執行時，安全性程式代碼分析建置工作才會失敗。但是即使工具識別程式代碼中的問題，它們還是會成功。藉由使用分析后建置工作，您可以在工具識別程式代碼中的問題時，將組建設定為失敗。
透過發行管線執行時，不支援某些 Azure DevOps 建置工作。更具體來說，Azure DevOps 不支援從發行管線內發佈成品的工作。
如需您可以在 Azure DevOps Team Build 中指定為參數的預先定義變數清單，請參閱 Azure DevOps 組建變數。

如需設定建置工作的詳細資訊，請參閱我們的組態指南或 YAML 組態指南。

如果您有更多關於擴充功能和所提供工具的問題，請參閱我們的常見問題頁面。